Stefan Lasiewski's questions

我们的 OpenLDAP 服务器在 EL6 上运行版本。OpenLDAP 是针对 Mozilla 网络安全服务 (NSS) 库构建的。我们的 LDAP 客户端来自各种 Unix 和 Linux 系统。

当我们使用我们首选的 TLS 密码时，我们无法让 OpenLDAP 连接为客户端或复制工作。

例如，如果我们使用 Red Hat 的Strongest available ciphers only列表，例如：

# /etc/openldap/slapd.conf
TLSProtocolMin 3.2
TLSCipherSuite ECDHE-RSA-AES256-SHA384:AES256-SHA256:!RC4:HIGH:!MD5:!EDH:!EXP:!SSLV2:!eNULL

客户端连接失败，因为它们不符合我们对最低安全强度因子 (SSF) 的 ACL 要求：

slapd[22887]: conn=1022 fd=20 ACCEPT from IP=192.168.100.101:35936 (IP=192.168.100.100:636)
slapd[22887]: conn=1022 fd=20 TLS established tls_ssf=128 ssf=128
...
slapd[22887]: <= check a_authz.sai_ssf: ACL 256 > OP 128

如何查看此连接使用的密码，以便从列表中删除它？

如果我们禁用密码列表并使用 OpenLDAP + NSS 提供的默认值，它可以工作：

# /etc/openldap/slapd.conf
TLSProtocolMin 3.2
# TLSCipherSuite ECDHE-RSA-AES256-SHA384:AES256-SHA256:!RC4:HIGH:!MD5:!EDH:!EXP:!SSLV2:!eNULL


slapd[6020]: conn=1003 fd=20 ACCEPT from IP=192.168.100.101:35936 (IP=192.168.100.100:636)
slapd[6020]: conn=1003 fd=20 TLS established tls_ssf=256 ssf=256

但是，默认列表是不可接受的，因为它包含一些我们的安全团队不想要的弱密码，例如 RC4-SHA 和 RC4-MD5 密码。

我们知道 EL6 将在今年年底前停产。那是一个不同的问题。

我有一个运行 MySQL 服务器的 CentOS 6 主机。我想将此服务器从 MySQL Enterprise Server 包迁移到 MySQL Community Server 包，具体如下：

• MySQL Enterprise RPM 称为mysql-commercial-something，版本为“5.7.22-1.1”。我将这些存储在自定义存储库中。
• 社区 RPM 被称为mysql-community-something，最新的可用版本是 '5.7.22-1'，它是商业版本之后的单个 '.1' 版本。这些存储在公共存储库（http://repo.mysql.com/）中。

由于社区 RPM 的版本号略低于商业版本，因此我不能简单地将一个包换成另一个包。Yum 抱怨错误“Package foo-1 is obsoleted by foo-1.1”：

[root@devdb ~]# yum list --quiet available 'mysql-*-server'
Available Packages
mysql-community-server.x86_64                   5.7.22-1.el6                    mysql57-community
[root@devdb ~]# 
[root@devdb ~]# yum install --quiet mysql-community-server
Package mysql-community-server-5.7.22-1.el6.x86_64 is obsoleted by mysql-commercial-server-5.7.22-1.1.el6.x86_64 which is already installed
[root@devdb ~]# 

我尝试了几件事，例如指定如何在 Linux 中安装旧版本的 php (5.2.17)？，但在这种情况下不起作用：

[root@devdb ~]# yum install --quiet mysql-community-server-5.7.22-1.el6.x86_64 
Package mysql-community-server-5.7.22-1.el6.x86_64 is obsoleted by mysql-commercial-server-5.7.22-1.1.el6.x86_64 which is already installed
[root@devdb ~]#

如何强制 Yum 使用旧版本号的包？

我有一个在 CentOS 7.3 上运行的 PostgreSQL 9.4 数据库。该数据库相当普通，通过https://yum.postgresql.org/安装。

我正在尝试备份此数据库，并在另一台主机上测试还原。如果我尝试使用 恢复--set ON_ERROR_STOP=on，则恢复失败。为什么是这样？

我的备份过程基于https://www.postgresql.org/docs/9.4/static/backup-dump.html上的建议。在全新安装包含 initdb 的 Postgres 后，我使用以下命令。

pg_dumpall --clean | gzip | split --suffix-length=4 --numeric-suffixes --additional-suffix=.split.gz --bytes 1G - postgres.pg_dumpall.

这会产生一系列文件，如下所示：

[postgres@db1 backups]$ ls
postgres.pg_dumpall.0000.split.gz
postgres.pg_dumpall.0001.split.gz
...
postgres.pg_dumpall.0040.split.gz
[postgres@db1 backups]$

要恢复，我想我可以使用cat,gunzip和psql --set ON_ERROR_STOP=on. 然而这不起作用：

[postgres@db2 ~]$ cat postgres.pg_dumpall.*.split.gz | gunzip | psql --set ON_ERROR_STOP=on postgres
SET
SET
SET
ERROR:  database "foo" does not exist
[postgres@db2 ~]$

如果我删除该命令将完成--set ON_ERROR_STOP=on，但我不清楚备份存档是否有效。

我有几个使用 Kickstart 安装的全新 CentOS 7 系统。

当我重新启动网络时，我注意到奇怪的错误，上面写着“ Could not load file '/etc/sysconfig/network-scripts/ifcfg-lo'”。这个错误真的没有意义，因为 ifcfg-lo 文件存在，而且对我来说看起来很正常。系统似乎运行正常，为什么网络服务抱怨？

[root@host3 ~]# cat /etc/sysconfig/network-scripts/ifcfg-lo 
DEVICE=lo
IPADDR=127.0.0.1
NETMASK=255.0.0.0
NETWORK=127.0.0.0
# If you're having problems with gated making 127.0.0.0/8 a martian,
# you can change this to something else (255.255.255.255, for example)
BROADCAST=127.255.255.255
ONBOOT=yes
NAME=loopback
[root@host3 ~]#


[root@host3 ~]# systemctl restart network
[root@host3 ~]# journalctl -xe -u network.service
...
-- Subject: Unit network.service has begun start-up
-- Defined-By: systemd
-- Support: http://lists.freedesktop.org/mailman/listinfo/systemd-devel
-- 
-- Unit network.service has begun starting up.
Sep 30 15:02:56 host3.example.org network[36432]: Bringing up loopback interface:  Could not load file '/etc/sysconfig/network-scripts/ifcfg-lo'
Sep 30 15:02:56 host3.example.org network[36432]: Could not load file '/etc/sysconfig/network-scripts/ifcfg-lo'
Sep 30 15:02:56 host3.example.org network[36432]: Could not load file '/etc/sysconfig/network-scripts/ifcfg-lo'
Sep 30 15:02:56 host3.example.org network[36432]: Could not load file '/etc/sysconfig/network-scripts/ifcfg-lo'
Sep 30 15:02:56 host3.example.org network[36432]: [  OK  ]
Sep 30 15:02:56 host3.example.org network[36432]: Bringing up interface eth0:  Connection successfully activated (D-Bus active path: /org/freedesktop/NetworkManager/ActiveConnection/3)
Sep 30 15:02:56 host3.example.org network[36432]: [  OK  ]
Sep 30 15:02:56 host3.example.org systemd[1]: Started LSB: Bring up/down networking.
-- Subject: Unit network.service has finished start-up
-- Defined-By: systemd
-- Support: http://lists.freedesktop.org/mailman/listinfo/systemd-devel
-- 
-- Unit network.service has finished starting up.
-- 
-- The start-up result is done.
[root@host3 ~]#

更新回复@SmallLoanOf1M 的问题。实际设备似乎在启动后启动并运行。据我所知，“未知”字段似乎很正常。

[root@host3 ~]# ip addr show dev lo
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN 
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
[root@host3 ~]#

我正在使用 ZFS 运行 FreeBSD 主机。

假设我正在使用以下命令在远程主机上存储一系列增量 ZFS 快照图像zfs send：

zfs send -i zpool/data/foo@04hoursago zpool/data/foo@10hoursago > /nfs/backups/foo.zfs

或者我想通过 FTP 服务器发送流：

% ftp backup
ftp> put "| zfs send -i zpool/data/foo@04hoursago zpool/data/foo@10hoursago" /backups/foo.zfs

我想验证这个远程图像。我想打印此图像中的快照列表，或者选择提取校验和或其他元数据以帮助检查图像是否有效并包含我预期的快照。

如何查询图像文件并查看里面的内容？

我已经尝试zfs receive使用-nv(no-op和verbose) 标志来列出图像中的快照，但这可能不适用于实时系统：

# zfs receive -nv zpool < /nfs/backups/foo.zfs
cannot receive new filesystem stream: destination 'zpool' exists
must specify -F to overwrite it
# zfs receive -nv -F zpool < /nfs/backups/foo.zfs
cannot receive new filesystem stream: destination has snapshots (eg. zpool@09hoursago)
must destroy them to overwrite it

我在 VMware Fusion（适用于 Mac）和 VMware ESXi/vSphere 上都遇到了以下问题。许多人都熟悉这个问题，VMware KB 中对此进行了描述：“ Networking does not work in a cloned Linux virtual machine (2002767) ”。

1. 创建一个 CentOS 虚拟机。
   • 这是一个简单的虚拟机，具有最少的软件集和正常运行的网络堆栈。我们的想法是我们采用最小的虚拟机，克隆它并稍后添加更多软件。
2. 克隆该虚拟机
3. VMware Fusion 或 vCenter 将为克隆的 VM 上的网络接口分配一个新的 MAC 地址。
4. Linux 不知道这个新的 MAC 地址，因此网络无法工作。该文件/etc/sysconfig/network-scripts/ifcfg-ethN具有第一台机器上接口的 MAC 地址。
5. 要解决此问题，我需要找到新 VM 的 MAC 地址，编辑ifcfg-ethN此 MAC 并将其添加到HWADDR=字段中。我不能简单地将 MAC 剪切并粘贴到字段中，因此这可能是一项容易出错的任务，尤其是当我忘记用笔和纸写下 MAC 时。
6. （加分项）在新 VM 上，经常 eth0、eth1 等以错误的顺序显示。解决这个问题需要围绕一个神秘的舞蹈/etc/udev/rules.d

我可以这样做，但是当我只是想启动一个新的 VM 来测试某些东西时，它很容易出错并且有点痛苦。

有没有办法简化这个手动过程？克隆新机器时，如何解决 MAC 地址问题？

我有一台EL5机器。在这台主机上，我想为 EL6 rpm 镜像一个 Puppet 存储库。如何在 EL5 主机上镜像 EL6 或 Fedora 存储库？

我正在使用reposync，因为我只需要 repo 上可用的最新包，而不是整个存储库。

我的 .repo 文件包含以下内容：

# cat puppetlabs.repo.el6
[main]
# Override default releasever, per `man yum.conf`
releasever=6
# Try distroverpkg instead?
distroverpkg=6

[puppetlabs-products]
name=Puppet Labs Products El 6 - $basearch
baseurl=http://yum.puppetlabs.com/el/6/products/$basearch
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-puppetlabs
enabled=0=1
gpgcheck=1

我的命令行如下。如您所见，reposync当我需要它说“el6”时，将“el5”附加到 URL 上。

# lsb_release -r
Release:        5.10
# reposync --newest-only --repoid=puppetlabs-products --config=puppetlabs.repo.el6 --urls
http://yum.puppetlabs.com/el/6/products/x86_64/facter-1.6.6-1.el5.noarch.rpm
http://yum.puppetlabs.com/el/6/products/x86_64/facter-2.0.1-1.el5.x86_64.rpm
http://yum.puppetlabs.com/el/6/products/x86_64/hiera-1.3.2-1.el5.noarch.rpm

在查看各种 Linux 和 FreeBSD 系统时，我注意到在某些系统上/etc/hosts包含主机的公共主机名条目，但在其他系统上则没有。

这里的最佳做法是什么？我的 /etc/hosts 文件是否应该包含主机 FQDN（例如 myhost.example.org）和短主机名（例如 myhost）的条目？FQDN 的记录应该指向本地主机还是应该指向盒子的外部 IP？

例如，许多 RHEL/EL 机器上的默认配置不会将公共主机名放入/etc/hosts：

myhost # cat /etc/hosts
127.0.0.1   localhost localhost.localdomain localhost4 localhost4.localdomain4
::1         localhost localhost.localdomain localhost6 localhost6.localdomain6
myhost #

另一个变体是主机的短主机名和 FQDN 也指向 127.0.0.1。有人告诉我，这是一种较旧的做法，如今已不受欢迎，但很多管理员仍然这样做。

myhost # cat /etc/hosts
127.0.0.1   localhost localhost.localdomain localhost4 localhost4.localdomain4 myhost myhost.example.org
::1         localhost localhost.localdomain localhost6 localhost6.localdomain6
myhost #    

第三种变体是主机的 FQDN 和短主机名被赋予主机的外部 IP 地址。这第三种变体对我来说似乎是最优的，因为它减少了对 DNS 服务器的查找。

myhost # cat /etc/hosts
127.0.0.1   localhost localhost.localdomain localhost4 localhost4.localdomain4
::1         localhost localhost.localdomain localhost6 localhost6.localdomain6
74.125.239.xxx myhost myhost.example.org
myhost #  

这里的最佳做法是什么？

许多供应商销售转速为 7200RPM 的4GB SATA 和 Nearline SAS 驱动器。供应商将宣传 6 Gbit/s 接口，但未提及实际数据传输速度。我与供应商、系统管理员、客户和技术经理进行了对话，他们认为 6 Gbit/s 是磁盘的实际传输速度。

7200RPM 驱动器是否可以充分利用此 6 Gbit/s 连接？如果没有，那么这种膨胀的传输速度对 7200RPM 驱动器有什么好处吗？与 3 Gbit/s 接口相比，6 Gbit/s 接口会提供任何性能改进吗？这种传输速度在 RAID 阵列中是否有益？

我读过典型的 7200RPM 驱动器将在理想条件下充分利用“缓冲区到计算机”接口。大型磁盘缓存等性能特性只能对这一速度提供适度的改进。

在计算传统 RAID 阵列的 IOPS 时，可以使用以下公式（借自Getting The Hang Of IOPS v1.3 on Symantec Connect）：

Ieffective = (n * Isingle) / (READ% + (F * WRITE%))

在哪里：

• Ieffective 是有效的 IOPS 数
• Isingle 是单个驱动器的平均 IOPS。
• n 是阵列中的磁盘数
• READ% 是从磁盘分析中读取的部分
• WRITE% 是从磁盘分析中获取的写入比例

• F 是RAID 写入惩罚：

  RAID Level      Write Penalty
  RAID-0          1
  RAID-1          2
  RAID-5          4
  RAID-6          6
  RAID-10         2
  RAID-DP         2
  

该公式本质上是以下函数：

• 阵列中每个驱动器的 IOPS
• 磁盘数量。更多磁盘意味着更多 IOPS
• 每个写入操作的 RAID 损失。
  • RAID5 和 RAID6 每次写入都需要 4 次以上的磁盘操作。控制器必须先读取块再读取奇偶校验数据（两次操作），计算新的奇偶校验数据然后更新奇偶校验块并更新数据块（再执行两次操作）。RAID6 有两个奇偶校验块，因此需要三读和三写。因此，RAID5 和 RAID6 阵列的 IOPS 比 RAID1 少。
  • RAID1 和 RAID10 只需要 2 次写入，镜像中的每个磁盘一次。

需要明确的是，这一切都提供了对理论性能的估计。各种控制器和 RAID 方法都有加快其中一些速度的技巧。

ZFS 的 RAID5 和 RAID6 等价物是 RAIDZ 和 RAIDZ2。在计算 RAIDZ 阵列的 IOPS 时，我是否可以使用与 RAID5 和 RAID6 相同的公式，或者 ZFS 是否有特殊技巧来减少写入操作所需的操作数量。

计算 RAIDZ 阵列的 IOPS 时是否有不同的公式可以使用？

我正在研究一些 4TB 数据库系统，并且我正在比较 RAID-10 和 RAID-50 之间的差异。

我知道如何计算常见 RAID 级别（如 RAID-1、RAID-5 和 RAID-10）的 IOPS。但是，我不确定如何计算 RAID-50 和 RAID-60 系统的 IOPS，特别是 RAID 写入惩罚，这是 RAID-5 和 RAID-6 系统的祸根。

如何计算 RAID-50 系统的 IOPS？我应该以某种方式结合 RAID-10 和 RAID-5 指标吗？RAID-50 或 RAID-60 阵列的 RAID 写入损失是多少？

我们知道 RAID 阵列的有效 IOPS 可以使用以下公式计算

Ieffective = (n * Isingle) / (READ% + (F * WRITE%))

在哪里：

• Ieffective 是有效的 IOPS 数
• Isingle 是单个驱动器的平均 IOPS。
• n 是阵列中的磁盘数
• READ% 是从磁盘分析中读取的部分
• WRITE% 是从磁盘分析中获取的写入比例

• F 是 RAID 写入惩罚（每次写入所需的操作数）。常见的 RAID 级别的 RAID 惩罚是：

  RAID Level      Write Penalty
  RAID-0          1   
  RAID-1          2   
  RAID-5          4
  RAID-6          6
  RAID-10         2
  RAID-DP         2
  

但是 RAID-50 系统的写入损失是多少？

注意：对于想了解 ZFS 的人：用于 ZFS RAIDZ、RAIDZ2 和 RAIDZ3 的 IOPS 与传统的 RAID5 和 RAID6 相比有了很大的改进：请参阅为 ZFS RAIDZ 计算 IOPS 与为 RAID5 和 RAID6 计算 IOPS 不同吗？

我希望我的网络服务器通过 SSL 连接与 MySQL 数据库服务器通信。网络服务器运行 CentOS5，数据库服务器运行 FreeBSD。证书由中间 CA DigiCert 提供。

MySQL 应该使用 ssl，根据my.cnf：

# The MySQL server
[mysqld]
port            = 3306
socket          = /tmp/mysql.sock
ssl
ssl-capath = /opt/mysql/pki/CA
ssl-cert = /opt/mysql/pki/server-cert.pem
ssl-key = /opt/mysql/pki/server-key.pem

当我启动 MySQL 时，守护程序启动时没有错误。这表明证书文件都是可读的。

但是当我尝试从网络服务器连接到数据库服务器时，我得到一个错误：

[root@webserver ~]# mysql -h mysql.example.org -u user -p
ERROR 2026 (HY000): SSL connection error

如果我尝试使用 openssl 进一步调试：

[root@webserver ~]# openssl s_client -connect mysql.example.org:3306 0>/dev/null
CONNECTED(00000003)
15706:error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol:s23_clnt.c:588:

这是测试与 MySQL 数据库服务器的 SSL 连接的有效方法吗？该SSL23_GET_SERVER_HELLO:unknown protocol消息很奇怪，因为这通常是您在用于非 SSL 流量的端口上使用 SSL 时所看到的。

同样的 openssl 命令似乎适用于 LDAP 和 HTTP 服务器：

$ openssl s_client -connect ldap.example.org:636  0>/dev/null
CONNECTED(00000003)
depth=2 /C=US/O=The Go Daddy Group, Inc./OU=Go Daddy Class 2 Certification Authority
...
$ openssl s_client -connect www.example.org:443  0>/dev/null
CONNECTED(00000003)
depth=0 /DC=org/DC=example/OU=Services/CN=www.example.org

我有一台运行 ZFS 和 3ware 9690SA 控制器的 FreeBSD 8.x 机器。

3ware 控制器显示带有以下磁盘之一的 ECC-ERROR：

//host> /c0 show
VPort Status         Unit Size      Type  Phy Encl-Slot    Model
------------------------------------------------------------------------------
p0    OK             u0   279.39 GB SAS   0   -            SEAGATE ST3300657SS 
p1    OK             u0   279.39 GB SAS   1   -            SEAGATE ST3300657SS 
p2    OK             u1   931.51 GB SAS   2   -            SEAGATE ST31000640SS
p3    ECC-ERROR      u2   931.51 GB SAS   3   -            SEAGATE ST31000640SS
p4    OK             u3   931.51 GB SAS   4   -            SEAGATE ST31000640SS

/c0 show events在其最近的历史记录中没有显示 ECC 错误。

ZFS 当前未检测到任何错误。zpool status说No known data errors

我的问题：这ECC-ERROR是我需要关注的事情吗？

根据3ware CLI 9.5.2 Manual，anECC-ERROR表示 3ware 控制器在该驱动器上捕获了一个或多个扇区的读取错误。这有时会在 RAID 阵列从故障磁盘中恢复时发生。相信在3ware Controller验证每个磁盘时也可以检测到ECC-ERRORS。没有一个驱动器出现故障，因此没有重建驱动器，所以我假设 3ware 在运行它每周对磁盘进行自动验证扫描时发现了一个坏扇区。这是一个安全的假设吗？

根据我们的日志，ZFS 没有在该驱动器上检测到任何坏扇区。ZFS 可以解决读取错误——如果 ZFS 检测到驱动器上的坏扇区，它只会将该扇区标记为坏扇区，并且不再使用它。从 ZFS 的角度来看，一个坏扇区没什么大不了的，尽管它可能表明驱动器开始坏了。

我可以ECC-ERROR使用 清除错误tw_cli /c0 rescan，并根据 tw_cli 手册页“如果条件不再存在，重新扫描控制器将清除错误状态”。并且由于 ECC 错误仅在读取特定磁盘扇区时才会发生，因此该错误ECC-ERROR消失了。由于 ZFS 可能已将该坏扇区移动到磁盘的另一个区域，并将该坏扇区标记为“坏”，因此将永远不会再读取该坏扇区。

我想测量 RAID6 阵列与 RAID10 阵列的读写性能。我知道bonnie++可用于计算磁盘性能，但 bonnie++ 生成的数字不包括“IOPS”等术语。现在，许多关于磁盘性能的文章和指南都提到“IOPS”。

如何使用 bonnie++ 计算磁盘阵列的 IOPS。我如何确保我的测试是在测试磁盘的实际 I/O 而不是系统缓存？

以下是来自我的一台服务器的一些示例统计信息。这些字段之一会报告类似于 IOPS 的数字吗？

# bonnie++ -q -d /data -u root
Version  1.96       ------Sequential Output------ --Sequential Input- --Random-
Concurrency   1     -Per Chr- --Block-- -Rewrite- -Per Chr- --Block-- --Seeks--
Machine        Size K/sec %CP K/sec %CP K/sec %CP K/sec %CP K/sec %CP  /sec %CP
hosta.example. 11680M   680  99 281780  26 133389  18  3955  99 382518  24  1097  31
Latency             12070us     124ms     406ms    8065us   60074us   36903us
Version  1.96       ------Sequential Create------ --------Random Create--------
hosta.example.org     -Create-- --Read--- -Delete-- -Create-- --Read--- -Delete--
              files  /sec %CP  /sec %CP  /sec %CP  /sec %CP  /sec %CP  /sec %CP
                 16 25616  33 +++++ +++ +++++ +++ +++++ +++ +++++ +++ +++++ +++
Latency               125us     637us     585us     100us      13us      41us
1.96,1.96,hosta.example.org,1,1371669888,11680M,,680,99,281780,26,133389,18,3955,99,382518,24,1097,31,16,,,,,25616,33,+++++,+++,+++++,+++,+++++,+++,+++++,+++,+++++,+++,12070us,124ms,406ms,8065us,60074us,36903us,125us,637us,585us,100us,13us,41us

我们正在使用带有 check_smartmon 或其他 Nagios 插件的 Smartmontools 和 Nagios 监控我们服务器上的磁盘。它似乎有效，因为没有错误。但我怎么知道它是否真的有效？

如果能在磁盘上模拟错误并通过整个 Nagios 管道观察错误，那就太好了。从 Linux 或 FreeBSD 命令行，有没有办法在不损坏磁盘的情况下触发磁盘驱动器或阵列上的 SMART 故障？

我在smartmontools-support邮件列表上发现了一个旧的讨论，但不清楚是否添加了此功能。

我正在使用多个第三方 RPM 存储库。由于这些 repos 包含名称冲突的包，我正在尝试使用yum-plugin-priorities来解决混淆。

当我运行时yum check-update，我收到一条通知“由于存储库优先级保护而排除了 N 个包”：

[root@host ~]# yum check-update
Loaded plugins: changelog, downloadonly, fastestmirror, priorities, security
Loading mirror speeds from cached hostfile
3941 packages excluded due to repository priority protections
[root@host ~]#

3941 排除包？天哪，这比我预期的要多得多。有没有一种快速的方法可以让我检查哪些包被排除在外，以便我可以仔细检查 yum 在做什么？

我试过--disableplugin=priorities了，但它没有显示排除的包裹。

[root@host ~]# yum check-update --disableplugin=priorities
Loaded plugins: changelog, downloadonly, fastestmirror, security
Loading mirror speeds from cached hostfile
[root@host ~]#

我正在管理一个网站，该网站使用来自知名发行人的 SSL/TLS 证书（在本例中为 GoDaddy，尽管来自其他发行人的证书也会出现同样的错误）。该网站托管在 Apache 网络服务器上。

一些网络浏览器抱怨 SSL/TLS 证书出现如下错误：

该站点的安全证书不受信任！

您试图访问 www.example.org，但服务器出示了由您的计算机操作系统不信任的实体颁发的证书。

其他网络浏览器不会抱怨。这向我表明证书本身已正确安装在网络服务器上，但网络浏览器或服务器缺少证书链的一部分。

这是另一个例子wget：

$ wget https://www.example.org/
--2013-01-23 12:34:47--  https://www.example.org/
Resolving www.example.org (www.example.org)... 192.168.100.100, 2001:400:xxx::10
Connecting to www.example.org (www.example.org)|192.168.100.100|:443... connected.
ERROR: The certificate of ‘www.example.org’ is not trusted.
ERROR: The certificate of ‘www.example.org’ hasn't got a known issuer.

是否可以从 Web 服务器配置中更正此问题？

GoDaddy 的证书是合法的，并且安装在网络服务器上。我不想绕过这个错误（例如我不想使用wget --no-check-certificate）。我想通过在服务器端添加正确的配置来防止这个错误。

我了解了针对 TLS 压缩的CRIME攻击（CVE-2012-4929，CRIME 是针对 SSL 和 TLS 的 BEAST 攻击的继承者），我想通过禁用 SSL 压缩来保护我的网络服务器免受这种攻击，它已添加到 Apache 2.2.22（参见错误 53219）。

我正在运行 Scientific Linux 6.3，它随 httpd-2.2.15 一起提供。httpd 2.2 上游版本的安全修复应该被反向移植到这个版本。

# rpm -q httpd
httpd-2.2.15-15.sl6.1.x86_64

# httpd -V
Server version: Apache/2.2.15 (Unix)
Server built:   Feb 14 2012 09:47:14
Server's Module Magic Number: 20051115:24
Server loaded:  APR 1.3.9, APR-Util 1.3.9
Compiled using: APR 1.3.9, APR-Util 1.3.9

我尝试在我的配置中关闭 SSLCompression，但这导致了以下错误消息：

# /etc/init.d/httpd restart
Stopping httpd:                                            [  OK  ]
Starting httpd: Syntax error on line 147 of /etc/httpd/httpd.conf:
Invalid command 'SSLCompression', perhaps misspelled or defined by a module not included in the server configuration
                                                           [FAILED]

是否可以使用此版本的 Apache Webserver 禁用 SSLCompression？

我正在创建一个 kickstart 文件，我想在 %packages 部分安装某些包组。我更喜欢安装包组，因此使用 @packagegroup 语法：

%packages
@Base
@Core
@Perl

我需要找到与 Kickstart/Anaconda 兼容的正确组包名称，但 Kickstart 似乎只能识别包组的某些缩写名称。例如，“@Directory Server”不起作用，但“@Directory”之类的东西可能起作用。

问题是缩写的包组（例如'@shortname'）是神秘的并且很难找到。如何查看哪个@shortname 对应于一个 Yum 包组？

例如，以下 Yum 命令将提供软件包组的描述和软件包列表：

$ yum groupinfo \* |head -30
Loaded plugins: changelog, downloadonly, fastestmirror, filter-data, list-data,
              : security
Setting up Group Process
Loading mirror speeds from cached hostfile
 * sl: ftp1.scientificlinux.org
 * sl-security: ftp1.scientificlinux.org

Group: Directory Server
 Description: Machine and user identity servers.
 Optional Packages:
   krb5-server
   krb5-server-ldap
   migrationtools
   openldap-servers
   samba
   ypserv
...

@Directory Server但是，在我的 Kickstart 文件中引用包组会导致错误（找不到组Directory Server）。

我们有一个 Postfix 服务器。有多个别名数据库，如 alias_maps 参数中所定义：

alias_maps = hash:/etc/mail/aliases,hash:/data/mail/aliases,hash:/usr/local/mailman/data/aliases, nis:mail.aliases

假设字符串“security”出现在 /etc/mail/aliases 和 /usr/local/mailman/data/aliases 中。'security' 既是 /etc/mail/aliases 中的别名（默认情况下），也是 mailman 中的邮件列表。

Postfix 将如何处理发送到“安全”的电子邮件？它会在 /usr/local/mailman/data/aliases 之前查询 /etc/mail/aliases 吗？alias_maps 中值的顺序重要吗？